ページの本文へ

Hitachi Logo
earth icon
    mail icon お問い合わせ
    Hitachi Global
    Hitachi Global

    HIRT-PUB09009:マルウェアWin32/Daonolならびにその亜種に関する注意喚起

    更新日:2009年10月29日

    1 状況

    2009年10月中旬からマルウェアWin32/Daonolとその亜種に関連する活動が確認されています[2][3][4]。このマルウェアは、2009年6月、Webサイトの改ざん被害が大量に発生した、「Gumblar、Martuz、Geno、JSRedir-R」(以下、Gumblar)と類似した攻撃手法を用いて感染活動を拡大しています。感染活動に伴う影響は、次の通りです。

     

    パソコンへの影響

    Webサイト更新用FTPアカウントが抜き取られ、抜き取られたFTPアカウントは、ユーザの管理するWebサイト改ざんに利用されてしまう場合があります。また、Windows XPがWin32/Daonol亜種に感染すると、真っ黒な画面になり、マウスポインタしか表示されない現象も報告されています。

     

    Webサイトへの影響

    意図しないJavaScriptの埋め込みなど、感染活動拡大のためのWebサイトの改ざんが発生しています。Webサイトの改ざんには、抜き取られたFTPアカウントが利用される場合もあります。

    page top

    2 対策

    (1)セキュリティ更新プログラムを適用する

    Microsoft Updateを実行し、過去にリリースされたセキュリティ更新プログラムを適用してください。また、Adobe Reader、Adobe Flash Playerなど、このマルウェアが感染活動に利用するソフトウェアのアップデートを行なってください。

     

    (2)信頼できる、最新の状態のマルウェア対策ソフトウェアを使用する

    マルウェア対策ソフトウェアがインストールされていること 、定義ファイルの自動更新が設定されていること、定義ファイルが最新であることを確認してください。

     

    (3)Webサイトのリモート保守とページ改ざん有無について確認する

    Webサイトでは、セキュリティ更新プログラムの適用、最新の状態のマルウェア対策ソフトウェアの利用に加えて、次の点からセキュリティ対策状況を確認してください。

     

    リモート保守環境

    リモート保守用アカウントのパスワードを変更してください。Gumblar感染拡大の際にパスワードを変更しても再度侵入される事例も報告されていますので、FTPを利用している場合には、リモート保守を許可するパソコンのIPアドレス制限を検討してください。

     

    ページの改ざん有無

    見知らぬJavaScriptが存在しないこと、見知らぬドメイン/IPアドレスを参照するJavaScriptのページが存在しないこと、見知らぬドメイン/IPアドレスを参照するiframeのページが存在しないことを確認してください。

    page top

    3 関連情報

    関連組織からの注意喚起

    1) JPCERT/CC:Web サイト経由でのマルウエア感染拡大に関する注意喚起
    http://www.jpcert.or.jp/at/2009/at090023.txt

     

    感染活動に関する情報

    2) IBM:Adobe Reader / Acrobatを狙う攻撃が急増(続報)【Tokyo SOC Report】
    http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333854?cntxt=a1010214

    3) Kaspersky Labs Japan:Gumblarに酷似、新たな脅威発生に警告
    http://www.kaspersky.co.jp/news?id=207578788

    4) Current Status Notes (cNotes):zlkon、gumblar、martuz 再臨
    http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=zlkon%A1%A2gumblar%A1%A2martuz+%BA%C6%CE%D7

     

    マルウェアに関する情報

    5) マイクロソフト:Win32/Daonol
    http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fDaonol

    6) トレンドマイクロ:TROJ_DELF.WQD
    http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DELF.WQD

    7) シマンテック:Infostealer.Daonol
    http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-051900-3410-99

    8) マカフィ:Lando
    http://www.mcafee.com/japan/security/virL.asp?v=Lando

     

    セキュリティ更新プログラムと最新バージョンに関する情報

    9) マイクロソフト:Microsoft Update
    http://update.microsoft.com/

    10) アドビ:Adobe Reader
    http://www.adobe.com/go/JP-H-GET-READER

    11) アドビ:Adobe Flash Player
    http://www.adobe.com/go/JP-H-GET-FLASH

    更新履歴

    2009年10月29日

    • このページを新規作成および公開しました。

    寺田/HIRT